Файл: Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 551
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
3. Безопасность и эффективность применения средств мониторинга ИБ.
Для подконтрольных объектов, которые не поддерживают стандартные протоколы (например, SMNPv.3), либо если на уровне стандартных протоколов не обеспечивается сбор нужных первичных сообщений ИБ
(например, для приложений прикладного уровня) возможно применение специализированных средств мониторинга ИБ (программных агентов).
Применение средств мониторинга ИБ не должно приводить к деградации работы подконтрольных объектов и нарушать их функциональные свойства.
Эффективность средств мониторинга ИБ должна определяться не только способностью контролировать состояние ИБ подконтрольных объектов, но и безопасностью этого контроля для их работы.
4. Консолидация мониторинга ИБ. При создании элементов СУИБ необходимо, чтобы осуществлялась:
– консолидация обработки событий (все события мониторинга ИБ, получившие качественную оценку угрозы ИБ, должны проходить через единую систему обработки и анализа, что позволит поддержать единый временной контекст состояния ИБ организации);
– консолидация представления состояния (большое количество события мониторинга ИБ необходимо консолидировать в виде оценки обобщенного состояния ИБ организации, что повысит информированность пользователей об уровне угрозы ИБ и ответственность служб СУИБ при реализации соответствующих регламентов безопасности. Обобщенная оценка состояния
ИБ должна предусматривать иерархичность предоставляемой информации о состоянии ИБ организации для различных уровней архитектуры СУИБ
(первичное сообщение ИБ – сообщение мониторинга ИБ – коррелированное сообщение мониторинга ИБ).
5.
Унификация. Принцип унификации должен распространяться на:
– применяемые средства администрирования для типовых СУИБ;
– способы сбора первичных сообщений ИБ от типовых контролируемых объектов ИС;
– применяемые критерии классификации и категорированию первичных событий ИБ;
– универсальный классификатор коррелированных событий мониторинга
ИБ организации;
– способы оценки и представления состояния ИБ;
– типовые регламенты по обработке и реагированию на коррелированные события мониторинга ИБ в ИС;
– способы передачи данных между компонентами СУИБ.
6.
Непрерывность мониторинга ИБ. Мониторинг состояния ИБ организации должен осуществляться непрерывно (постоянно).
7.
Разделение функций управления и администрирования СУИБ. В СУИБ на уровне функциональных компонент должны быть разделены задачи управления ИБ и администрирования СУИБ (прежде всего, настройка, конфигурационное управление на уровне аппаратно–программных комплексов).
8.
Принцип сервисного подхода к управлению ИБ. Требования к управлению и контролю СУИБ задаются процессами СУИБ. Для обеспечения обратной связи с процессами СУИБ должны быть определены спецификации структурированных сообщений мониторинга ИБ, которые описывают параметры/метрики штатного состояния ИБ.
5.1.3. Модель Демнинга (PDCA)
Стандарт ISO 27001 декларирует два основных принципа управления безопасностью.
1. Процессный подход к управлению безопасностью, который рассматривает управление как процесс
(набор взаимосвязанных непрерывных действий), акцентирует внимание на достижении поставленных целей, а также на ресурсах, затраченных для достижения целей.
2. Применение модели Демнинга или модели PDCA (Планируй, Plan —
Выполняй, Do — Проверяй, Check — Действуй, Act) как основы для всех процедур (процессов) управления ИБ.
Стандарт ISO определяет РDСА–модель как основу функционирования всех процессов (процедур) СОИБ (рис.5.1).
Рис. 5. 1. Этапы жизненного цикла процедур PDCA
–
модели СУИБ организации
Для каждой процедуры системы управления информационной безопасностью определяются правила выполнения, необходимые ресурсы, график выполнения, процедуры контроля, критерии оценки эффективности.
Различные процедуры СУИБ должны последовательно и непрерывно выполняться на следующих этапах модели PDCA:
–планирование процедур (этап «ПЛАНИРОВАНИЕ»);
– внедрение процедур (этап «ВЫПОЛНЕНИЕ»);
– проверка эффективности выполнения ИБ (этап «ПРОВЕРКА»);
– совершенствование процедур - внесение необходимых изменений в
СИБ и СОИБ в целом (этап «СОВЕРШЕНСТВОВАНИЕ»).
Далее через определенный период времени требуется заново пересматривать цели и задачи выполнения процедур, то есть заново приступать к выполнению первого этапа модели РDСА.
Основная сложность при реализации жизненного цикла СУИБ заключается в проверке эффективности ее процедур. Для каждой процедуры необходимо разработать критерии эффективности, по которым будет проверяться ее эффективность. Такие критерии требуется разработать также и
для всей СУИБ в целом. Критериями оценки эффективности СУИБ могут быть, например, изменение количества инцидентов
ИБ, квалификация пользователей в области ИБ и пр.
Целью СУИБ является обеспечение снижения риска ИБ (ущерба) и поддержание его уровня до приемлемой руководством организации величины при осуществлении бизнес-процесса. Процессы управления рисками являются одними из основных процессов СУИБ и включают в себя
1) анализ рисков (идентификация ценных активов, оценка рисков – расчет ожидаемого ущерба);
2) обработка рисков (выбор метода управления рисками, подготовка плана мероприятий по снижению рисков с указанием контрмер, расчет эффективности выбранных контрмер по снижению рисков, определение ответственных и сроки реализации контрмер, контроль выполнения);
3) разработка требований к системе мониторинга ИБ и контроля защитных мер СОИБ;
4) внедрение контрмер и системы мониторинга ИБ;
5) организация процесса мониторинга эффективности ИБ (сбор и анализ событий ИБ и выявление инцидентов ИБ);
6) принятие мер по усовершенствованию ИБ организации.
Пункты 1-3 относятся к этапу «ПЛАНИРОВАНИЕ», п.4 – к этапу
«ВЫПОЛНЕНИЕ», п.5 – к этапу «ПРОВЕРКА», п.6 – к этапу
«СОВЕРШЕНСТВОВАНИЕ»
Рассмотрим более подробно э тапы жизненного цикла процедур PDCA
–
модели СУИБ организации
5.2. Этап «ПЛАНИРОВАНИЕ» процедур СУИБ
Целью выполнения деятельности в рамках группы процессов
«ПЛАНИРОВАНИЕ» является запуск «цикла» СУИБ путем определения первоначальных планов построения, ввода в действие и контроля СОИБ, а также определения планов по совершенствованию СОИБ на основании решений, принятых на этапе «СОВЕРШЕНСТВОВАНИЕ».
Выполнение деятельности на стадии «ПЛАНИРОВАНИЕ» заключается в определении/корректировке области действия СОИБ и предусматривает проведение следующих работ:
– планировании системы управления рисками (СУР) ИС организации;
– планировании системы мониторинга ИБ и контроля защитных мер
СОИБ.
В состав работ по планированию системы управления рисками ИС организации на этапе «ПЛАНИРОВАНИЕ» входят
– анализ рисков;
– обработка рисков.
В состав работ по планированию системы мониторинга ИБ и контроля защитных мер СОИБ входят
– планирование организационно-технических решений по мониторингу
состояния информационной безопасности ИС и контролю защитных мер;
– планирование системы самооценки ИБ организации;
– планирование типовой программы аудита ИБ;
– планирование системы непрерывности бизнеса организации.
5.2.1. Планирование СУР ИБ организации. Анализ рисков в ИС
В процессе анализа рисков проводятся следующие работы:
– идентификация и определение ценности всех активов в рамках
выбранной области деятельности;
– оценка защищенности ИС;
– оценка рисков для возможных случаев успешной реализации угроз
информационной безопасности в отношении идентифицированных активов.
5.2.1.1. Идентификация и определение ценности активов
Необходимо идентифицировать только те активы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности. Важность (или стоимость) актива определяется величиной ущерба, наносимого в случае нарушения его конфиденциальности, целостности или доступности. В ходе оценки стоимости активов определяется величина возможного ущерба для каждой его категории при успешном осуществлении угрозы. В ИС предприятия хранятся и обрабатываются различные виды открытой и служебной конфиденциальной информации. Прежде всего, следует определить
1 ... 4 5 6 7 8 9 10 11 ... 16
, что являетсядля организации ценным активом с точки зрения информационной безопасности.
Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:
– информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);
– программное обеспечение;
–материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
– сервисы (поддерживающая инфраструктура);
– сотрудники организации, их квалификация и опыт;
– нематериальные ресурсы (репутация и имидж организации).
Следует определить, нарушение информационной безопасности каких активов может нанести ущерб организации. В этом случае актив будет считаться ценным, и его необходимо будет учитывать при оценке информационных рисков. Инвентаризация заключается в составлении перечня ценных активов организации. Как правило, данный процесс выполняют владельцы активов.
В процессе категорирования активов необходимо оценить их важность для бизнес-процессов организации или, другими словами, определить, какой ущерб понесет организация в случае нарушения информационной безопасности активов. Данный процесс вызывает наибольшую сложность, так как ценность активов определяется на основе экспертных оценок их
владельцев (субъективные оценки). В процессе данного этапа часто проводятся обсуждения между консультантами по разработке системы управления и владельцами активов. Это помогает последним понять, каким образом следует определять ценность активов с точки зрения информационной безопасности (как правило, процесс определения критичности активов является для владельца новым и нетривиальным).
Кроме этого, для владельцев активов разрабатываются различные методики оценки активов. В частности, такие методики могут содержать конкретные критерии (актуальные для данной организации), которые следует учитывать при оценке нарушения конфиденциальности, целостности и доступности, т. е. оценке ущерба, который понесет организация при нарушении конфиденциальности, целостности или доступности активов.
Оценку критичности активов можно выполнять в денежных единицах и в уровнях. Однако, учитывая тот факт, что для анализа информационных рисков необходимы значения в денежных единицах, в случае оценки критичности активов в уровнях, следует определить оценку каждого уровня в деньгах. Например, для базовой оценки рисков достаточно 3- уровневой шкалы оценки критичности: низкий, средний и высокий уровни. При выборе шкалы важно учитывать следующее:
– чем меньше количество уровней, тем ниже точность оценки;
– чем больше количество уровней, тем выше сложность оценки (сложно определить разницу между, скажем, 7-м и 8-м уровнем 10- уровневой шкалы).
Кроме этого, следует иметь в виду, что для расчета информационных рисков достаточно примерных значений критичности активов: не обязательно оценивать их с точностью до денежной единицы. Однако денежное выражение критичности все равно необходимо. Рассмотрим подробнее принципы оценки критичности каждого указанного актива.
Информационные активы (или виды информации) оцениваются с точки зрения нанесения организации ущерба от их раскрытия, модификации или недоступности в течение определенного времени.
Программное обеспечение, материальные ресурсы и сервисы оцениваются, как правило, с точки зрения их доступности или работоспособности, т. е. требуется определить, какой ущерб понесет
организация при нарушении функционирования данных активов. Например, нарушение системы кондиционирования в течение трех суток приведет к отказу серверов организации к ним будет нарушен доступ и вследствие этого организация понесет убытки.
Сотрудники организации с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию. Оценивается, какой ущерб понесет организации при отсутствии сотрудника в течение определенного периода времени. Здесь важно учесть опыт сотрудника, его квалификацию, выполнение им каких-либо специфических операций.
Репутация организации оценивается в связи с информационными ресурсами: какой ущерб репутации организации будет нанесен в случае нарушения безопасности информации организации.
Заметим, что процесс категорирования активов должен подчиняться четким документированным процедурам организации.
Аудиторам сертификационного органа будет недостаточно формального документа, отражающего результаты категорирования. От владельцев активов требуется, чтобы они могли объяснить, какие методики они использовали при оценке, на основании каких данных были получены результаты оценки.
5.2.1.2. Идентификация угроз и уязвимостей для идентифицированных активов
Очевидно, что для анализа информационных рисков необходимо оценить не только критичность активов, но и уровень их защищенности. В процессе оценки защищенности информационной системы определяются угрозы, действующие на активы, а также уязвимости ИС, в которой обрабатываются активы и которые могут привести к реализации угроз.
Угрозы и уязвимости рассматриваются только во взаимосвязи друг с другом, так как инцидент ИБ– событие, указывающее на действительную, мнимую
или вероятную реализацию угрозы, возникает в случае появления комплементарной пары «угроза-уязвимость»). Уязвимость, через которую невозможно реализовать ни одну из угроз, не имеет смысла. Аналогично, угроза, которую невозможно реализовать ввиду отсутствия уязвимости, также неактуальна.
Понятно, что различные угрозы и уязвимости имеют разное значение (разный вес) для информационной системы. Следовательно, необходимо определить, какие угрозы и уязвимости наиболее актуальны, или, другими словами, определить вероятность реализации угрозы через
уязвимость. Под уровнем угрозы понимается вероятность ее
осуществления. Оценка угроз включает в себя:
– определение уязвимых мест системы;
– анализ вероятности угроз, направленных на использование этих уязвимых мест;
– оценка последствий успешной реализации каждой угрозы;
– оценка стоимости возможных мер противодействия;
Сотрудники организации с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию. Оценивается, какой ущерб понесет организации при отсутствии сотрудника в течение определенного периода времени. Здесь важно учесть опыт сотрудника, его квалификацию, выполнение им каких-либо специфических операций.
Репутация организации оценивается в связи с информационными ресурсами: какой ущерб репутации организации будет нанесен в случае нарушения безопасности информации организации.
Заметим, что процесс категорирования активов должен подчиняться четким документированным процедурам организации.
Аудиторам сертификационного органа будет недостаточно формального документа, отражающего результаты категорирования. От владельцев активов требуется, чтобы они могли объяснить, какие методики они использовали при оценке, на основании каких данных были получены результаты оценки.
5.2.1.2. Идентификация угроз и уязвимостей для идентифицированных активов
Очевидно, что для анализа информационных рисков необходимо оценить не только критичность активов, но и уровень их защищенности. В процессе оценки защищенности информационной системы определяются угрозы, действующие на активы, а также уязвимости ИС, в которой обрабатываются активы и которые могут привести к реализации угроз.
Угрозы и уязвимости рассматриваются только во взаимосвязи друг с другом, так как инцидент ИБ– событие, указывающее на действительную, мнимую
или вероятную реализацию угрозы, возникает в случае появления комплементарной пары «угроза-уязвимость»). Уязвимость, через которую невозможно реализовать ни одну из угроз, не имеет смысла. Аналогично, угроза, которую невозможно реализовать ввиду отсутствия уязвимости, также неактуальна.
Понятно, что различные угрозы и уязвимости имеют разное значение (разный вес) для информационной системы. Следовательно, необходимо определить, какие угрозы и уязвимости наиболее актуальны, или, другими словами, определить вероятность реализации угрозы через
уязвимость. Под уровнем угрозы понимается вероятность ее
осуществления. Оценка угроз включает в себя:
– определение уязвимых мест системы;
– анализ вероятности угроз, направленных на использование этих уязвимых мест;
– оценка последствий успешной реализации каждой угрозы;
– оценка стоимости возможных мер противодействия;